ISO27701規格解説 ー 6.4.2.2、6.5.2.1、6.5.2.2

ここでは、ISO27002に関連するPIMS固有の手引についてISO27701で特に追加・改定されている部分の解説をしていきます。
今回は、『6.4.2.2 情報セキュリティの意識向上、教育及び訓練』『 6.5.2.1情報の分類』『6.5.2.2 情報のラベル付け』を解説します。

※ ご覧になりたい項目をクリックすることで、該当のセクションにジャンプできます。

この管理策では、組織の管理下で働く人に対して、PIMSの重要性を周知し、正しい認識や知識を身につけるための教育及び訓練の実施を要求しています。

PIMSの教育は、PIIに関する違反に影響を受ける対象は誰か、どのような影響があるのか、その対策等を考えて、適切なPIIに関する教育を、定期的に実施する必要があります。

教育及び訓練は、ISO/IEC 27002において「意識向上のための訓練は、組織の情報セキュリティの意識向上プログラムで必要とされた場合に実施することが望ましい。」とあります。そのため、訓練の実施は必須ではありません。ただ、各国の法規制によっては実施することが求められるケースもあります。
例えばGDPRだと、情報漏えいから72時間以内に報告するための義務があるので、そのための訓練が必要になってきます。

ISMSの構築時には情報資産管理台帳を作成し、保管場所や媒体の種類、使用されるシステム等を考慮して、情報資産それぞれを分類したと思います。
※一例を挙げるとすれば、情報の重要度ごとに「機密」「重要」「一般」と分ける等。

PIMSの構築でも同様にして、PIIを取り扱うシステムや、システムでどんな取り扱い方をされるのかを考慮して情報の分類をおこないます。そのためには、それぞれの情報がどのシステムで使用されて、どこに保管されるのかを把握して明示する必要があります。そのためにはPIIということがわかるように情報資産管理台帳に追記していくといいでしょう。そして作成した情報資産管理台帳をもとにして、PIIを含めた情報の分類を行います。

6.5.2.1ではPIIを含めて情報を分類するという管理策でした。ここでは、慎重な取り扱いが求められるPIIに対して、他の情報と見分けがつくようにラベル付けしましょうという管理策です。

例えば、紙又は電子データを問わず、ファイルやフォルダに「機密情報(PII)」「機密情報」といった名前をつけるように、PIIかそれ以外の重要な情報かがわかるようにします。すべてのファイル名を変えるのが面倒くさい場合、その情報がPIIであることがわかるように周知するだけでも構いません。

例えば、情報資産管理台帳内の情報資産それぞれに対して、「PII」又は「PIIではない」等がわかるように書いておくことで、PIIを含めた情報のラベル付けができると考えられます。